DORA pour « Digital Operational Resilience Act », tient compte des risques toujours plus importants de cyberattaques, et matérialise la décision de l’Union Européenne de renforcer la sécurité informatique des entités financières (banques, compagnies d’assurance, entreprises d’investissement).
La date d’application est fixée au 17 janvier 2025.
Pourquoi DORA ?
Dora s’adresse aux secteurs financiers de l’Union Européenne pour traiter des risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques ainsi que par la multiplication de cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur. Le but de DORA est de définir des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’Union Européenne.Qui est concerné par DORA ?
« …Le règlement couvre une série d’entités financières réglementées au niveau de l’Union, à savoir les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les prestataires de services liés aux crypto-actifs, les dépositaires centraux de titres, les contreparties centrales, les plates-formes de négociation, les référentiels centraux, les gestionnaires de fonds d’investissement alternatifs et les sociétés de gestion, les prestataires de services de communication de données, les entreprises d’assurance et de réassurance, les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance auxiliaires, les institutions de retraite professionnelle, les agences de notation de crédit, les contrôleurs légaux des comptes et les cabinets d’audit, les administrateurs d’indices de référence essentiels et les prestataires de services de crowdfunding ».
Quelles sont les exigences à remplir ?
Cartographie et essais
Les institutions financières doivent cartographier et tester leurs services, processus et systèmes informatiques critiques afin d’identifier et de gérer les risques opérationnels.
Externalisation
Les institutions financières doivent mettre en œuvre des mesures adéquates pour gérer les risques liés à l’externalisation de fonctions ou de services critiques.
Signalement des incidents
Les institutions financières doivent signaler les incidents qui ont un impact significatif sur la continuité de leurs services ou qui constituent une menace pour le système financier.
Cybersécurité
Les institutions financières doivent adopter des mesures de cybersécurité appropriées et efficaces pour prévenir les cybermenaces et les violations de données.
La gestion des risques
Les institutions financières doivent mettre en place un cadre solide de gestion des risques, pleinement intégré à leur stratégie commerciale globale.
Gouvernance et surveillance
Les institutions financières doivent maintenir des lignes de responsabilité claires en matière de résilience opérationnelle, le conseil d’administration étant responsable de la supervision de la résilience opérationnelle de l’institution.
Plan de continuité des activités
Les institutions financières doivent élaborer des plans de continuité des activités complets et efficaces afin de garantir la continuité de leurs services essentiels en cas de perturbation.
Tests et formation
Les institutions financières doivent régulièrement tester et mettre à jour leurs plans de résilience opérationnelle et former leur personnel, afin d’être prêtes à répondre aux perturbations opérationnelles.
A quelles sanctions potentielles les institutions d’exposent-elles en cas de non respect ?
Amendes administratives
Les institutions financières peuvent se voir infliger une amende pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total, le montant le plus élevé étant retenu, en cas d’infraction grave au règlement.
Mesures correctives
Les autorités de surveillance peuvent exiger des institutions financières qu’elles prennent des mesures correctives pour remédier aux faiblesses ou aux défaillances de leur résilience opérationnelle.
Réprimandes publiques
Les autorités de surveillance peuvent adresser un blâme public aux institutions financières qui ne se conforment pas aux exigences du règlement.
Retrait de l’agrément
Les autorités de surveillance peuvent retirer l’agrément aux institutions financières qui, de manière répétée, ne se conforment pas aux exigences du règlement.
Indemnisation des dommages
Les institutions financières peuvent être tenues d’indemniser les clients ou les tiers pour tout dommage résultant d’un manquement aux exigences du règlement.
Il est important de noter que les sanctions exactes en cas de non-respect peuvent varier en fonction des circonstances spécifiques et de la gravité de l’infraction.
Pour aller plus loin, Numspot vous propose un livre blanc rédigé par IDC, en partenariat avec RedHat, pour explorer en profondeur les enjeux majeurs de la souveraineté numérique :
- Comment concilier innovation technologique, conformité réglementaire et sécurité ?
- Quelles sont les clés pour adopter une infrastructure cloud souveraine sans compromis sur la performance ?
- Comment aligner vos projets IA avec des principes de gouvernance des données responsables ?
- Quels partenaires choisir pour renforcer votre résilience opérationnelle et éviter le verrouillage fournisseur ?
